Em 2013, a rede da Target, grande varejista de roupas dos Estados Unidos, sofreu um ataque que gerou o vazamento de 110 milhões de números de cartões de crédito, senhas e dados pessoais. O vazamento acabou resultando na demissão do CIO da empresa e sérios problemas à imagem e aos negócios. Para o consultor de segurança da Real Protect, Rovercy de Oliveira, uma situação dessa magnitude chama muita atenção e gera algumas lições que podem ser aplicadas a outras companhias para que o mesmo não ocorra.

1. É vital saber quais alarmes podem ser ignorados

Mais do que nunca, gerenciar corretamente as ferramentas de segurança disponíveis, os eventos e a massa de logs gerados é a chave para se atingir a segurança ideal. “Definir quais são as prioridades e as vulnerabilidades mais críticas, de acordo com o seu negócio, aumenta a eficiência do gerenciamento” completa Rovercy. Investir tempo e recurso em questões menos importantes pode deixar um “alerta vermelho” em segundo plano.

2. Permita que o CISO tenha de fato responsabilidade sobre questões de segurança

Assim como outros eventos relacionados à rede, em um caso como o da Target, é certo que o CIO vai receber a culpa, como o chefe de toda a infraestrutura, a segurança acaba também sendo sua responsabilidade. Contudo, em um ambiente no qual a área de TI é cada vez mais complexa, e, precisa desde manter tudo funcionando corretamente até desenvolver novos sistemas que tragam resultados positivos para o negócio, o CIO precisa focar em inúmeras questões além da segurança. “A melhor forma para implementar, monitorar e melhorar um verdadeiro regime de segurança é deixar que o especialista, o CISO, tenha de fato responsabilidade e autonomia para isso.” pontua o especialista.

3. Ter um Plano de Resposta a Incidentes é fundamental para se recuperar de ataques

Nas horas e dias iniciais depois que um vazamento foi descoberto, a prioridade é em geral uma: consertar a brecha, a qualquer custo. “Essa é uma boa abordagem para o time técnico, contudo, outros setores da empresa também devem estar a par do que está acontecendo. Isso possibilita que a ação subsequente para minimizar os danos seja efetiva, o que vai desde os procedimentos técnicos até a forma como a questão será abordada publicamente.” define Rovercy de Oliveira. No caso da Target, quando a situação se tornou pública, a informação sobre o que de fato ocorreu mudava a todo instante, transmitindo a imagem de que a empresa não sabia sobre o real alcance do vazamento de dados e como poderia resolver o incidente.

4. O ponto mais crítico da sua segurança é algo que você não considerou

O ataque à Target começou quando um técnico terceirizado, que foi à sede da empresa para consertar o termostato de um ar condicionado, conectou um dispositivo à rede wireless, no chamado lado fraco do firewall. ”Os hackers estão cada vez mais sofisticados, planejam com muito cuidado uma oportunidade como essa para fisgar um alvo tão lucrativo, e eles irão exatamente onde você não está olhando. É por isso que a segurança deve ser internalizada na cultura da empesa, todo e qualquer procedimento deve estar de acordo com as normas.” finaliza.

 

Conclusão

Segundo Oliveira, para os profissionais que respiram segurança em seu dia a dia, lições como: excelência e disciplina operacional ao gerenciar dispositivos de segurança, correlacionar logs, ter uma equipe alinhada para resposta a incidentes e não somente para reparar um incidente tecnicamente, mas também toda uma estrutura para minimizar o impacto que o incidente pode causar a imagem da corporação, são fatores básicos:

– Esses fatores básicos teoricamente deveriam ser suficientes para que a segurança desempenhasse seu papel de apoiar o negócio. Porém, quando a segurança se mistura a conflitos de C level da área de tecnologia, na maioria das vezes, a sua função desanda. Isso ocorre devido ao conflito de interesses entre as diversas áreas, o que acaba gerando falta de alinhamento, e, consequentemente, falta de apoio “top-level”. Analisando a dinâmica do ataque à Target e o contexto em que ocorreu, concluo que o que realmente falta na segurança atual é enxergar que ela deve estar em uma estrutura top-down. Uma figura de segurança, teria um C ao lado dos C’s da tecnologia, no caso, quem deveria ter autonomia de atuação e ser responsabilizado, e até mesmo demitido, seria o C da segurança (CISO). Caso ele estivesse em posição de comando, a probabilidade do problema ter atingido a proporção que alcançou seria consideravelmente menor.